概要
デフォルト・アイデンティティ・ドメイン、複数のドメインの使用方法、ディザスタ・リカバリおよびドメインなどについて学習します。
ここでは、次のトピックについて説明します。
デフォルト・アイデンティティ・ドメイン
各テナンシでは、ルート・コンパートメントにデフォルト・アイデンティティ・ドメインが含まれます。
デフォルト・アイデンティティ・ドメイン:
- 非アクティブ化または削除できません。(テナンシのライフサイクルで存続します。)
- サインイン・ページから非表示にすることはできません。
デフォルト・アイデンティティ・ドメインには、初期テナント管理者ユーザーおよび管理者グループと、管理者がテナンシ内のリソースを管理できるデフォルト・ポリシーが含まれます。管理者ポリシーと管理者グループは削除できず、少なくとも1人のユーザーが管理者グループに存在する必要があります。デフォルト・ドメイン内の管理責任を委任するために、ユーザー・アカウントを事前定義済の管理者ロールに割り当てることもできます。
デフォルト・ドメイン以外のドメインのアイデンティティ・ドメイン管理者ロールをユーザーまたはグループに付与すると、(テナンシではなく)そのドメインにのみ完全な管理者権限が付与されます。アイデンティティ・ドメインの少なくとも1人の管理者に、アイデンティティ・ドメイン管理者ロールを直接付与する必要があります。これは、グループ・メンバーシップによって付与されるアイデンティティ・ドメイン管理者ロールに追加されます。詳細は、管理者ロールの理解を参照してください。
ドメイン・タイプを変更することで、ドメインをアップグレードできます。各アイデンティティ・ドメイン・タイプは、機能とオブジェクト制限の様々なセットに関連付けられています。実行する操作に適したドメイン・タイプを決定する方法の詳細は、IAMアイデンティティ・ドメインのタイプを参照してください。
複数のアイデンティティ・ドメインの使用
それぞれ異なるアイデンティティおよびセキュリティ要件を持つ複数のアイデンティティ・ドメイン(たとえば、開発用のドメインと本番用のドメイン)を作成して管理し、アプリケーションとOracle Cloudサービスを保護します。
複数のアイデンティティ・ドメインを使用すると、各アイデンティティ・ドメインに対する管理制御の分離を維持できます。これは、たとえば、セキュリティ標準により、開発ユーザーIDが本番環境内に存在することが禁止されている場合や、異なる管理者が異なる環境を管理する必要がある場合に必要です。
各テナンシには、テナンシに付属するアイデンティティ・ドメインであるデフォルト・アイデンティティ・ドメインが含まれます。管理者は、ライセンスで許可されている数だけ追加のアイデンティティ・ドメインを作成できます。管理者は:
- 追加のアイデンティティ・ドメインを作成し、アイデンティティ・ドメイン管理者になるか、別のユーザーを管理者として割り当てます。
- 追加のアイデンティティ・ドメインを作成し、アイデンティティ・ドメイン作成プロセスの一環として、ユーザーをアイデンティティ・ドメインのアイデンティティ・ドメイン管理者として割り当てます。
- 追加のアイデンティティ・ドメインの作成を他の管理者に委任します。
アイデンティティ・ドメイン管理者は、アイデンティティ・ドメインの作成中にアイデンティティ・ドメインに割り当てられます。アイデンティティ・ドメイン管理者アイデンティティは、デフォルト・アイデンティティ・ドメインのユーザーと同じユーザー名を持つことができますが、アイデンティティ・ドメインごとに異なる権限を持つ可能性のある別のユーザーであり、個別のパスワードを持ちます。
アイデンティティ・ドメイン管理者は、アイデンティティ・ドメインの機能セット全体を使用できます。アイデンティティ・ドメインで、アイデンティティ・ドメイン管理者は次が可能です:
- ユーザー、グループ、アプリケーション、システム構成およびセキュリティ設定を管理します。
- ユーザーを別の管理ロールに割り当てることで委任管理を実行します。
- 多要素認証(MFA)を有効または無効にし、MFA設定を構成し、認証ファクタを構成します。
- ユーザー、承認ポリシーおよびアプリケーションの様々なセットを管理するための自己登録プロファイルを作成します。
アイデンティティ・ドメインの制限
各アイデンティティ・ドメイン・タイプは、機能とオブジェクト制限の様々なセットに関連付けられています。
各アイデンティティ・ドメイン・タイプのオブジェクト制限、レート制限および測定値については、IAMアイデンティティ・ドメインのタイプを参照してください。
適用可能な制限のリストと制限の引上げをリクエストする手順は、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。
ドメインのリカバリ
管理者は、削除されたアイデンティティ・ドメインをリカバリできません。削除されたアイデンティティ・ドメインをリカバリするためにOracleサポートに連絡するには、サポート・リクエストを参照してください。
ディザスタ・リカバリおよびアイデンティティ・ドメイン
障害は、アプリケーションをリスクにさらす任意のイベントです(自然災害による障害など)。クロスリージョン・ディザスタ・リカバリ(DR)が有効になっているリージョンでは、アイデンティティ・ドメインにクロスリージョンDRが組み込まれており、データ損失を最小限に抑えます。リージョンのデータは、障害発生時に近くのリージョンにレプリケートされます。OCIリージョン全体が使用できなくなった場合、トラフィックはディザスタ・リカバリ・リージョンにルーティングされ、サービス・リカバリの迅速化と、可能なかぎり多くのデータの保持が図られます。Oracleによって、リージョンは自動的にディザスタ・リカバリ(DR)リージョンとペアにされます。
Oracle Cloud InfrastructureのDRについてさらに学習するには、クラウド・トポロジの障害からの保護について学習を参照してください。
リージョンの停止が発生すると、アイデンティティ・ドメインは短時間停止してからリカバリします。DRリージョンにリカバリした後:
- アイデンティティ・ドメイン内のユーザーは、通常どおり認証および認可されます。
- アイデンティティ・ドメインURLは変更されません。どのアプリケーションでも変更は必要ありません。
- フェイルオーバーしたアイデンティティ・ドメインは、レプリケートされたリージョンにレプリケートされません。
- 他のリージョンにレプリケートされたアイデンティティ・ドメインは、DRリージョンと同期していない可能性があります。たとえば、ユーザー、グループおよびドメイン設定に対する変更は、DRリージョンに反映されないことがあります。不整合は、アイデンティティ・ドメインがフェイルバックすると解決されます。
DRリージョンへのアクセス
次のステップを使用して、ネットワークがDRリージョンに到達できることを確認します。
- DRリージョン識別子は、DRリージョンのペア表で検索します。ディザスタ・リカバリ・リージョンのペアを参照してください。
- DRリージョン識別子を使用して、リージョンに割り当てられたパブリックIPアドレスを検索します。VCNおよびOracle Services Network用のパブリックIPアドレスを参照してください。
- これらのパブリックIPアドレスをファイアウォールに追加して、そのDRリージョンからのトラフィックを許可します。
読取り専用フェイルオーバーおよびアイデンティティ・ドメイン
リージョンの停止が発生した場合、OCIは、読取り専用アクセス・モードでそれらのアイデンティティ・ドメイン(およびIDCSストライプ)へのアクセスをリストアするフェイルオーバー・リージョンへの、そのリージョンのアイデンティティ・ドメイン(およびIDCSストライプ)のフェイルオーバーを開始することがあります。リージョン停止状態が有効化および無効化されている場合の停止情報を確認します。
ホーム・リージョンが使用できない場合、ユーザーは、アイデンティティ・ドメインがフェイルオーバーしていても、どのリージョンでもOCIコンソールにアクセスできません。ホーム・リージョン以外のリージョンへのCLIおよびSDKアクセスが可能です。
読取り専用アクセス・モードの場合:
- リソースを更新できません。アイデンティティ・ドメイン(またはIDCSストライプ)リソースの更新は許可されません。たとえば、ユーザーは、ユーザー、アプリケーション、グループまたはドメイン設定を更新または削除できません。ユーザーは、すべてのリソースに対する読取り権限を持ちます。
- ユーザーはパスワードを変更できません。ユーザーがパスワードの強制リセット状態にある場合、ユーザーはパスワードをリセットできず、リージョンの停止が緩和されるまでアクセスできません。
- マルチファクタ認証を使用するユーザーは、アイデンティティ・ドメインが読取り専用モードの間はサインインできます。
- アイデンティティ・ドメインを使用するアプリケーションは、認証および認可できます。たとえば、カスタム・アプリケーションは、読取り専用モードでアイデンティティ・ドメインを使用してコールを認証および認可できます。
ディザスタ・リカバリ・リージョンのペア
次の表を使用して、Oracle Cloud Infrastructure商用レルムでDRリージョンのペアを検索します:
使用可能なリージョンの詳細は、Oracle Cloudリージョン—データ・センターを参照してください。
リージョン名 | リージョン識別子 | リージョンの場所 | ディザスタ・リカバリ・リージョン名 | ディザスタ・リカバリ・リージョン識別子 |
---|---|---|---|---|
オーストラリア東部(シドニー) | ap-sydney-1 | Sydney, Australia | オーストラリア南東部(メルボルン) | ap-melbourne-1 |
オーストラリア南東部(メルボルン) | ap-melbourne-1 | Melbourne(オーストラリア) | オーストラリア東部(シドニー) | ap-sydney-1 |
ブラジル東部(サンパウロ) | sa-saopaulo-1 | サンパウロ | ブラジル南東部(ヴィニェード) | sa-vinhedo-1 |
ブラジル南東部(ヴィニェード) | sa-vinhedo-1 | ヴィニェード、ブラジル | ブラジル東部(サンパウロ) | sa-saopaulo-1 |
カナダ南東部(モントリオール) | ca-montreal-1 | モントリオール(カナダ) | カナダ南東部(トロント) | ca-toronto-1 |
カナダ南東部(トロント) | ca-toronto-1 | トロント、カナダ | カナダ南東部(モントリオール) | ca-montreal-1 |
ドイツ中央部(フランクフルト) | eu-frankfurt-1 | フランクフルト、ドイツ | オランダ北西部(アムステルダム) | eu-amsterdam-1 |
オランダ北西部(アムステルダム) | eu-amsterdam-1 | Amsterdam、オランダ | ドイツ中央部(フランクフルト) | eu-frankfurt-1 |
インド南部(ハイデラバード) | ap-hyderabad-1 | ハイデラバード、インド | インド西部(ムンバイ) | ap-mumbai-1 |
インド西部(ムンバイ) | ap-mumbai-1 | ムンバイ、インド | インド南部(ハイデラバード) | ap-hyderabad-1 |
イタリア北西部(ミラノ) | eu-milan-1 | ミラノ、イタリア | フランス南部(マルセイユ) | eu-marseille-1 |
日本中央部(大阪) | ap-osaka-1 | 大阪、日本 | 日本東部(東京) | ap-tokyo-1 |
日本東部(東京) | ap-tokyo-1 | 東京(日本) | 日本中央部(大阪) | ap-osaka-1 |
大韓民国中部(ソウル) | ap-seoul-1 | ソウル(韓国) | 大韓民国北部(春川) | ap-chuncheon-1 |
大韓民国北部(春川) | ap-chuncheon-1 | 春川、韓国 | 大韓民国中部(ソウル) | ap-seoul-1 |
スイス北部(チューリッヒ) | eu-zurich-1 | チューリック(スイス) | ドイツ中央部(フランクフルト) | eu-frankfurt-1 |
アラブ首長国連邦中央部(アブダビ) | me-abudhabi-1 | Abu Dhabi、UAE | UAE東(ドバイ) | me-dubai-1 |
UAE東(ドバイ) | me-dubai-1 | ドバイ(アラビア) | アラブ首長国連邦中央部(アブダビ) | me-abudhabi-1 |
英国南部(ロンドン) | uk-london-1 | ロンドン、英国 | 英国西部(ニューポート) | uk-cardiff-1 |
英国西部(ニューポート) | uk-cardiff-1 | ニューポート、英国 | 英国南部(ロンドン) | uk-london-1 |
米国東部(アッシュバーン) | us-ashburn-1 | アッシュバーン、VA | 米国西部(フェニックス) | us-phoenix-1 |
米国西部(フェニックス) | us-phoenix-1 | フェニックス、AZ | 米国東部(アッシュバーン) | us-ashburn-1 |
米国西部(サンノゼ) | us-sanjose-1 | サンノゼ、カリフォルニア州 | 米国西部(フェニックス) | us-phoenix-1 |
コンソールへのサインインのための高可用性の管理
他のリージョンでアイデンティティ・ドメインをレプリケートして、コンソールの高可用性を最大化します。アイデンティティ・ドメインのレプリケートにより、ユーザーはホーム・リージョンが使用できないときにコンソールにサインインできます。
ホーム・リージョンが使用できないことが検出され、サインイン・リクエストがレプリケートされたリージョンにリダイレクトされます。レプリケートされたリージョンを介してサインインするユーザーは、アイデンティティ・リソースへのREADアクセス権のみを持ちますが、そのリージョン内のすべてのワークロードを管理できます。例:
- ユーザーは、ポリシーなどのグローバルIAMリソースを表示またはリストできます。
- ユーザーは、ユーザー、グループ、アプリケーションなどのドメイン・リソースを表示またはリストできます。
- ユーザーは、ホーム・リージョンが使用可能になるまでアイデンティティ・ドメイン・リソースを変更、更新または作成できません。
- ユーザーは、コンピュート・インスタンスの作成、オブジェクト・バケットへのアクセスなど、サブスクライブ済リージョンでOCIリソースを管理できます。
ホーム・リージョンが回復すると、コンソールからユーザーにメッセージが通知されます。ユーザーは、既存のセッションを引き続き使用することも、サインアウトしてからコンソールにサインインしてOCIで完全なアクセスを実現することもできます。
コンソールで高可用性を有効にするには、アイデンティティ・ドメインの複数のリージョンにサブスクライブすることをお薦めします。
高可用性コンソールのサインインは、次の場合に自動的にアクティブ化されます。
- ホーム・リージョンは、少なくとも1つの代替リージョンをサブスクライブします。「インフラストラクチャ・リージョンのサブスクライブ」を参照してください
- ホーム・リージョンは、少なくとも1つの代替リージョンによってレプリケートされます。「複数のリージョンへのアイデンティティ・ドメインのレプリケート」を参照してください。
2024年8月15日より後に作成されたテナンシは、コンソール・サインインの高可用性をサポートしています。他のすべてのテナンシについては、この機能について計画されているロールアウトは2024年12月1日から始まるフェーズになります。